RSAC 2020在线日记⑥|第三视角看安全,大咖有话说
星期日, 三月 1, 2020
在RSAC 2020现场穿梭的人群,并不只是安全公司的人,还有很多的学者、咨询机构、CISO,甚至是作家。每个人都在这个全球网络信息安全的顶级盛会上,追逐着自己的兴趣点,也从自己的立场和视角,捕捉着网络安全的热点与趋势。
在今年参会行程中,我们身负着一个重要任务,便是将RSAC 2020现场的思想、智慧与见解,传回国内。为此,今天和小伙伴的主要任务便在大会的现场,采访了不同身份的人,谈谈今年的RSA大会与安全。
“好马配好鞍”,这是以色列经济与产业部对外贸易局负责人Ami ldo Levin关于大会主题“人是安全的要素”的理解。他说,技术需要配给合格的人才,方可发挥效用。我们对于在世界各地以及在以色列本地招募的人才开展了大量培训工作,确保员工正确使用技术,切实为组织和客户带来价值。
对于以色列网络公司,人才与技术的匹配之外,人才还需要与市场匹配。Ami ldo Levin说,很多以色列公司从创业的第一天开始,就关注全球市场,通常在早期就会寻找资金和特定的合作伙伴。
今年RSAC 2020的主题之下,零信任是一个现场热门话题。因而,在现场,我们迫切想了解第三方视角下的零信任。幸运的是,我们遇到了Deloitte(德勤)公司合伙人、亚太区网络安全风险负责人James Nunn-Price。众所周知,德勤是美国最大的私立公司之一,也是为企业提供网络安全建议的一个主要源头。
“当我们想到零信任这个词的时候,我们可以对自己的数字资产保持控制。”James Nunn-Price说,过去我们会架起防火墙,然后将自己的所有资产都放在防火墙里。但随着人们越来越倚重移动终端,远程化是不可改的趋势,我们将资产搬到边界日益模糊的云上。因此,对于零信任计算而言,其整体理念就是我们来帮助保护这些资产。对于用户的移动终端设备,真正重要的是数字身份。
在这个过程中,我们需要知道谁在使用这些设备,他们是否有权或者经过许可来使用访问这些资产。因此,我们看到的发展趋势是,放开控制。这并不是说,你失去了控制。而是你在对有关身份和资产本身的某一关键区域增加控制,只是省去了一些中间环节。对于整个互联网而言,相比完全被保护起来的防火墙,零信任则推动实现网络去边界化,我们以前叫它“消除边界”。
技术演进,这是RSCA2020大会的话题延伸的其中一个方向。不过在这之外,还有一些交叉点处延伸的话题,依然能引起大会参会嘉宾极大兴趣。比如,我们采访到的AV8风险投资公司合伙人、谷歌云前高管Baris Aksoy,他在今年的大会上,所关注的便是网络保险。
他说,随着安全公司所面临的攻击越来越多,具有实际业务影响的攻击相关风险也越来越多。这就是保险、风险和安全的交叉点,对风投而言,这是一个非常有趣的领域。当很多公司收到勒索软件的攻击后,损失的可都是真金白银,但目前并没有可行的解决方案。故而,网络保险才会越来越受关注。
反过来,对于企业而言,当面临的可能攻击越来越多,因此就要设立首席安全官。安全和财富的重要性,是全球公司的一致选择。
在安全决策者、咨询公司、投资人之外,RSAC 2020现场还吸引了作家的关注。著名安全维护方面的作家、《2020安全年鉴:信息技术安全的完整历史》作者Richard Stiennon也在现场。
接受我们的采访时,他说,在现场深刻感受到云安全和人工智能的趋势。为此,他计划写一本专门介绍这些方面的书,供更多年轻人了解和掌握趋势。
在今年RSAC 2020现场,他的作品《2020安全年鉴:信息技术安全的完整历史》也进行了发布。这是经过十多年的研究,一个由全球2000多家供应商组成的行业的第一个历史。“当我意识到自己一直在写关于网络攻击历史的书籍而忽视了我24年来参与的行业时,我对这本书的看法就开始了。”Richard Stiennon在现场对我们说。
“安全年鉴2020”按国家和产品类别列出的所有供应商的首个发布目录。对于分析师,投资者、安全从业者和学生来说,这将是一个不可或缺的参考资料。
为了传递更全面的观点和信息,我们这次不仅采访了国外的专家,还找到了国内的安全从业大咖进行分享。
某世界500强集团CSO李洋对主题方向更为感兴趣。在他看来,很多网络安全问题的产生,都来自人的社会性。因此,如何从人的社会性去全流程发现影响网络安全的要素,这是RSAC 2020直接带给未来几年行业思考的命题。
在大会现场,前网康CEO、安全投资人袁沈钢告诉我们,越来越感觉到中美安全创新的驱动力不尽相同。中国安全创新驱动力多靠政策,而美国安全创新驱动力更多来源于保护终端消费者。
不过奇安信集团副总裁韩永刚认为,依靠政策的安全创新,似乎正在过去。他结合当前的疫情防控工作谈到,中国的数字化会因为疫情这一事件而加速,而要为数字化保驾护航,网络安全一定要跟得上。在这个过程中,不能就安全谈安全,而真正的应该把网络安全和我们的整个的信息化环境,和数字化过程能够充分的去融合起来、去覆盖进来。
因此,安全的建设不能再像原来一样,只是一种零散的、分散的、基于合规的一种方式,而真正的开始要能够把我们的网络安全,从我们的信息化视角出发、从全局的视角出发,和数字化充分的结合,去全面覆盖、去深度融合。
而这,不就是内生安全吗?
奇安信集团是中国最大的网络安全公司之一,专门为政府、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务。